Ka bokhutšoanyane, MTA-STS ke mokhoa oa ho sireletsa mangolo-tsoibila ho tsoa ho li-imeile (ke hore, litlhaselo tsa motho-in-the-bohareng aka MitM) ha o fetisetsa lipakeng tsa li-server tsa poso. E rarolla mathata a meralo ea lefa la liprothokholo tsa lengolo-tsoibila mme e hlalosoa ka mokhoa o mocha oa RFC 8461. Mail.ru ke tšebeletso ea pele ea poso e kholo ho RuNet ho kenya ts'ebetsong mokhoa ona. Lintlha tse ling li ka tlase ho sehiloeng.
MTA-STS e rarolla bothata bofe?
Ho latela nalane, liprothokholo tsa lengolo-tsoibila (SMTP, POP3, IMAP) li ne li fetisetsa tlhahisoleseling ka mongolo o hlakileng, e leng se ileng sa etsa hore ho khonehe ho e thibela, ka mohlala, ha u fihlella mocha oa puisano.
Mokhoa oa ho tsamaisa lengolo ho tloha ho mosebelisi e mong ho ea ho o mong o shebahala joang:
Ho latela nalane, tlhaselo ea MitM e bile teng libakeng tsohle moo mangolo a tsamaeang teng.
RFC 8314 e hloka ts'ebeliso e tlamang ea TLS lipakeng tsa ts'ebeliso ea poso ea mosebelisi (MUA) le seva ea mangolo. Haeba seva sa hau le lits'ebetso tsa poso tseo u li sebelisang li lumellana le RFC 8314, u (haholo) u felisitse monyetla oa tlhaselo ea Man-in-the-Middle pakeng tsa mosebelisi le li-server tsa poso.
Ho latela mekhoa e tloaelehileng (e hlophisitsoeng ke RFC 8314) ho felisa tlhaselo e haufi le mosebelisi:
Li-server tsa Mail.ru li tsamaisana le RFC 8314 le pele maemo a amoheloa, ha e le hantle, e tlaleha feela mekhoa e seng e amohetsoe, 'me ha rea ka ra tlameha ho hlophisa letho hape. Empa haeba seva sa hau sa lengolo-tsoibila se ntse se lumella basebelisi ho sebelisa liprothokholo tse sa sireletsehang, etsa bonnete ba hore u kenya tšebetsong likhothaletso tsa maemo ana, kaha bonyane basebelisi ba bang ba hau ba sebetsa ka mangolo ntle le ho ngolla, leha u e tšehetsa.
Moreki oa mangolo o lula a sebetsa le seva sa poso sa mokhatlo o le mong. 'Me hoa khoneha ho qobella basebelisi bohle hore ba hokahane ka mokhoa o sireletsehileng, ebe ba etsa hore ho se khonehe ho hokahanya ka mokhoa o sa sireletsehang (sena ke seo RFC 8314 e se hlokang). Ka linako tse ling sena se thata, empa se ka etsoa. Ka sephethephethe pakeng tsa li-server tsa poso, ho rarahane le ho feta. Li-server ke tsa mekhatlo e fapaneng 'me hangata li sebelisoa ka mokhoa oa "set and forget", e leng se etsang hore ho se khonehe ho fetolela ka nako e le' ngoe ho protocol e sireletsehileng ntle le ho senya khokahanyo. SMTP haesale e na le katoloso ea STARTTLS, e lumellang li-server tse tšehetsang kholiso hore li fetohele ho TLS. Empa mohlaseli ea nang le bokhoni ba ho susumetsa sephethephethe a ka "khaola" tlhahisoleseling mabapi le ts'ehetso bakeng sa taelo ena mme a qobella li-server ho buisana ka mokhoa o tloaelehileng oa mongolo (seo ho thoeng ke tlhaselo ea ho theola maemo). Ka lebaka le tšoanang, STARTTLS hangata ha e hlahlobe ho latela setifikeiti (setifikeiti se sa tšepahaleng se ka sireletsa khahlanong le litlhaselo tse sa sebetseng, 'me sena ha se mpe ho feta ho romella lengolo ka mongolo o hlakileng). Ka hona, STARTTLS e sireletsa feela khahlanong le ho mamela feela.
MTA-STS e felisa bothata ba ho thibela mangolo pakeng tsa li-server tsa poso, ha mohlaseli a khona ho susumetsa sephethephethe. Haeba sebaka sa moamoheli se phatlalatsa leano la MTA-STS, 'me seva sa motho ea rometseng se tšehetsa MTA-STS, se tla romela lengolo feela ka khokahanyo ea TLS, ho li-server tse hlalositsoeng ke pholisi feela, le ka netefatso ea setifikeiti sa seva.
Ke hobane'ng ha ka tsela e itseng? MTA-STS e sebetsa feela haeba mahlakore ka bobeli a hlokometse ho kenya tšebetsong maemo ana, 'me MTA-STS ha e sireletse khahlanong le maemo ao mohlaseli a nang le bokhoni ba ho fumana setifikeiti se nepahetseng sa domain ho tsoa ho e' ngoe ea li-CA tsa sechaba.
Kamoo MTA-STS e Sebetsang Kateng
Moamoheli
- E lokisa tšehetso ea STARTTLS ka setifikeiti se sebetsang ho seva sa mangolo.
- E hatisa leano la MTA-STS ka HTTPS, ho sebelisoa sebaka se ikhethileng sa mta-sts le tsela e ikhethang e tsebahalang ea khatiso, joalo ka
https://mta-sts.mail.ru/.well-known/mta-sts.txt. Pholisi e na le lenane la li-server tsa mangolo (mx) tse lumelletsoeng ho fumana mangolo sebakeng sena. - E hatisa rekoto e khethehileng ea _mta-sts TXT ho DNS ka mofuta oa pholisi. Ha pholisi e fetoha, rekoto ena e lokela ho nchafatsoa (sena se bontša motho ea rometseng hore a botsitse pholisi hape). Ka mohlala,
_mta-sts.mail.ru. TXT "v=STSv1; id=20200303T120000;"
Moromedi
Motho ea rometseng o kopa rekoto ea _mta-sts DNS, 'me haeba e le teng, o etsa kopo ea pholisi ka HTTPS (ka ho sheba setifikeiti). Leano le amohetsoeng le bolokoa (ha motho ea hlaselang a thibela ho kena ho lona kapa a nkela rekoto ea DNS sebaka).
Ha ho romelloa mangolo, ho hlahlojoa hore:
- seva eo mangolo a romelloang ho eona e leanong;
- Seva e amohela mangolo ka TLS (STARTTLS) mme e na le setifikeiti se sebetsang.
Melemo ea MTA-STS
MTA-STS e sebelisa mahlale a seng a kentsoe tšebetsong mekhatlong e mengata (SMTP+STARTTLS, HTTPS, DNS). Ha ho tšehetso e khethehileng ea software bakeng sa maemo a hlokahalang bakeng sa ts'ebetsong lehlakoreng la moamoheli.
Mefokolo ea MTA-STS
Hoa hlokahala ho beha leihlo bonnete ba setifikeiti sa marang-rang le lengolo-tsoibila, tumellano ea mabitso, le nchafatso e nakong. Mathata a setifikeiti a tla fella ka ho se khone ho fana ka mangolo.
Ka lehlakoreng la baromelli, MTA e nang le ts'ehetso ea maano a MTA-STS ea hlokahala, hajoale MTA-STS ha e tšehetsoe ka ntle ho lebokose la MTA.
MTA-STS e sebelisa lethathamo la li-CA tse tšeptjoang.
MTA-STS ha e sireletse khahlanong le litlhaselo moo mohlaseli a sebelisang setifikeiti se sebetsang. Maemong a mangata, MitM haufi le seva e fana ka maikutlo a monyetla oa ho fana ka setifikeiti. Tlhaselo e joalo e ka bonoa ho sebelisoa Certificate Transparency. Ka hona, ka kakaretso, MTA-STS e fokotsa, empa ha e felise ka ho feletseng monyetla oa ho thibela sephethephethe.
Lintlha tse peli tsa ho qetela li etsa hore MTA-STS e fokotsehe ho feta tekanyo ea DANE e hlōlisanang bakeng sa SMTP (RFC 7672), empa e ka tšeptjoa haholoanyane, ke hore bakeng sa MTA-STS ho na le monyetla o fokolang oa hore lengolo le ke ke la tlisoa ka lebaka la mathata a theknoloji a bakoang ke ho kengoa ts'ebetsong ha maemo.
Boemo ba tlholisano - DANE
DANE e sebelisa DNSSEC ho phatlalatsa tlhahisoleseding ea setifikeiti mme ha e hloke ho tšepa balaoli ba kantle ba setifikeiti, e sireletsehileng haholoanyane. Empa ts'ebeliso ea DNSSEC hangata e lebisa ho hloleheng ha tekheniki, haeba re itšetleha ka lipalo-palo tsa lilemo tse 'maloa tsa ts'ebeliso (le hoja ts'epo ea DNSSEC le ts'ehetso ea eona ea tekheniki ka kakaretso e le ntle). Ho kenya tshebetsong DANE ho SMTP ka lehlakoreng la moamohedi, boteng ba DNSSEC bakeng sa sebaka sa DNS bo tlamehile, mme bakeng sa DANE, tshehetso e nepahetseng ya NSEC/NSEC3 e bohlokwa, moo DNSSEC e nang le mathata a tsamaiso.
Haeba DNSSEC e hlophisitsoe ka phoso, e ka lebisa ho hloleheng ho fana ka mangolo haeba lehlakore le romellang le tšehetsa DANE, le haeba lehlakore le amohelang le sa tsebe ka eona. Kahoo, ho sa tsotellehe taba ea hore DANE ke tekanyetso ea khale le e sireletsehileng haholoanyane 'me e se e tšehetsoa ho software e' ngoe ea seva ka lehlakoreng la ho romela, ha e le hantle, ho kenella ha eona ho ntse ho se letho, mekhatlo e mengata ha e e-s'o itokisetse ho e kenya ts'ebetsong ka lebaka la tlhokahalo ea ho kenya ts'ebetsong DNSSEC, sena se fokolitse haholo ts'ebetsong ea DANE bakeng sa lilemo tsohle tseo tekanyetso e 'nileng ea e-ba teng.
DANE le MTA-STS ha di thulane mme di ka sebediswa mmoho.
Ho thoe'ng ka tšehetso ea MTA-STS ho Mail.ru Mail
Mail.ru esale e phatlalatsa leano la MTA-STS bakeng sa libaka tsohle tse kholo ka nako e telele joale. Hajoale re kenya tšebetsong karolo ea moreki ea maemo. Nakong ea ho ngola, maano a sebelisoa ka mokhoa o sa thibeleng (haeba ho fana ho koetsoe ke pholisi, lengolo le tla romelloa ka seva sa "backup" ntle le ho sebelisa maano), joale mokhoa oa ho thibela o tla qobelloa bakeng sa karolo e nyenyane ea sephethephethe sa SMTP, 'me butle-butle ts'ebeliso ea maano e tla tšehetsoa bakeng sa 100% ea sephethephethe.
Ke mang hape ea tšehetsang tekanyetso?
Le hoja maano a MTA-STS a ntse a hatisoa ke hoo e ka bang 0.05% ea libaka tse sebetsang, li se li ntse li sireletsa palo e kholo ea sephethephethe sa mangolo, kaha maemo a ts'ehetsoa ke libapali tse kholo - Google, Comcast le Verizon e itseng (AOL, Yahoo). Litšebeletso tse ling tse ngata tsa poso li phatlalalitse hore ts'ehetso ea maemo e tla kengoa ts'ebetsong haufinyane.
See se tla nkama joang?
Ha ho joalo, ntle le haeba sebaka sa hau se phatlalatsa leano la MTA-STS. Haeba u phatlalatsa leano, joale li-imeile bakeng sa basebelisi ba seva sa hau sa mangolo li tla sireletsoa hamolemo hore li se ke tsa thibeloa.
Ke kenya tšebetsong MTA-STS joang?
Tšehetso ea MTA-STS ka lehlakoreng la ho amohela
Ho lekane ho phatlalatsa pholisi ka lirekoto tsa HTTPS le DNS, ho lokisa setifikeiti se nepahetseng ho tsoa ho e 'ngoe ea li-CA tse tšepahalang (Ha re e kenyelletse ho khoneha) bakeng sa STARTTLS ho MTA (STARTTLS e tšehetsoa ho li-MTA tsohle tsa morao-rao), ha ho hlokahale tšehetso e khethehileng e tsoang ho MTA.
Mohato ka mohato, e shebahala tjena:
- Lokisa STARTTLS ho MTA eo u e sebelisang (postfix, exim, sendmail, Microsoft Exchange, joalo-joalo).
- Etsa bonnete ba hore u sebelisa setifikeiti se nepahetseng (se fanoeng ke CA e tšepahalang, e sa felloang ke nako, 'me sehlooho sa setifikeiti se lumellana le rekoto ea MX e fanang ka mangolo bakeng sa sebaka sa hau sa marang-rang).
- Lokisa rekoto ea TLS-RPT ho fana ka litlaleho tsa ts'ebetso ea leano (ka lits'ebeletso tse tšehetsang ho romella litlaleho tsa TLS). Mohlala oa rekoto (bakeng sa mohlala.com domain):
smtp._tls.example.com. 300 IN TXT «v=TLSRPTv1;rua=mailto:tlsrpt@example.com»Kenyelletso ena e laela ba romellang mangolo ho romela litlaleho tsa lipalo-palo mabapi le ts'ebeliso ea TLS ho SMTP atereseng
tlsrpt@exmple.com.Sheba litlaleho ka matsatsi a seng makae ho netefatsa hore ha ho na liphoso.
- Phatlalatsa leano la MTA-STS holim'a HTTPS. Pholisi e hatisoa e le faele ea mongolo e nang le li-terminators tsa CRLF ho ea ka sebaka.
https://mta-sts.example.com/.well-known/mta-sts.txtMohlala oa leano:
version: STSv1 mode: enforce mx: mxs.mail.ru mx: emx.mail.ru mx: mx2.corp.mail.ru max_age: 86400Sebaka sa mofuta o na le mofuta oa pholisi (hona joale o teng
STSv1), Mokhoa o beha mokhoa oa kopo ea pholisi, tlhahlobo ke mokhoa oa teko (pholisi ha e sebelisoe), ts'ebetsong ke mokhoa oa "combat". Ntlha ea pele, phatlalatsa pholisi ka mokhoa: teko, haeba ho se na mathata le pholisi ka mokhoa oa teko, ka mor'a nako u ka fetola mokhoa: ho qobella.mx e totobatsa lenane la li-server tsohle tsa mangolo tse ka amohelang mangolo sebakeng sa hau (seva e 'ngoe le e 'ngoe e tlameha ho ba le setifikeiti se hlophisitsoeng se lumellanang le lebitso le boletsoeng ho mx). Max_age e totobatsa nako ea ho boloka pholisi (hang ha pholisi e hopoloa, e tla sebelisoa le haeba mohlaseli a thibela ho khutla kapa a senya lirekoto tsa DNS nakong ea caching; o ka bontša tlhoko ea ho botsa pholisi hape ka ho fetola rekoto ea mta-sts DNS).
- Phatlalatsa rekoto ea TXT ho DNS:
_mta-sts.example.com. TXT “v=STS1; id=someid;”Sebaka sa id e ka ba sesupa-tsela se sa reroang (mohlala, setempe sa nako), 'me se lokela ho fetoha ha pholisi e fetoha, sena se lumella baromeli ho utloisisa hore ba hloka ho boela ba kopa pholisi e bolokiloeng (haeba sekhetho se fapane le se bolokiloeng).
Tšehetso ea MTA-STS ka lehlakoreng la moromeli
Lintho li mpe ho eena hajoale, hobane maemo a macha.
- Exim - ha ho tšehetso e hahelletsoeng, mongolo oa motho oa boraro o teng
- Postfix - ha ho na tšehetso e hahelletsoeng, ho na le sengoloa sa motho oa boraro se hlalosoang ka botlalo ho Habr
E le polelo e latelang mabapi le "TLS e hlokahalang"
Batsamaisi ba ntse ba ela hloko ts'ireletso ea lengolo-tsoibila morao tjena (mme ke ntho e ntle). Ka mohlala, DMARC e tlamehile ho mekhatlo eohle ea 'muso ea US 'me e ntse e hlokahala haholo lekaleng la lichelete, ka litekanyetso tsa ho kenella ho fihla ho 90% libakeng tse laoloang. Ba bang ba balaoli hona joale ba hloka ho kenya ts'ebetsong ea "TLS e hlokahalang" ka libaka ka bomong, empa mochine oa ho netefatsa hore "TLS e hlokahalang" ha e hlalosoe, 'me ka ts'ebetsong mokhoa ona o atisa ho sebelisoa ka tsela e sa sireletseng le ho fokotsa litlhaselo tsa sebele tse seng li fanoe ka mekhoa e kang DANE kapa MTA-STS.
Haeba molaoli o hloka ts'ebetsong ea "TLS e hlokahalang" ka libaka tse ikemetseng, re khothaletsa ho nahana ka MTA-STS kapa analogue ea eona e le mokhoa o loketseng ka ho fetisisa, e felisa tlhoko ea ho etsa litlhophiso tse sireletsehileng bakeng sa domain ka 'ngoe ka thoko. Haeba u na le mathata ka ts'ebetsong ea karolo ea bareki ea MTA-STS (ho fihlela protocol e fumana tšehetso e atileng, ba ka e etsa), re ka khothaletsa mokhoa o latelang:
- Phatlalatsa pholisi ea MTA-STS le / kapa lirekoto tsa DANE (DANE e utloahala feela haeba DNSSEC e se e ntse e nolofalitsoe bakeng sa sebaka sa hau sa marang-rang, le MTA-STS ho sa tsotellehe boemo leha e le bofe), sena se tla sireletsa sephethephethe ho uena le ho felisa tlhokahalo ea ho botsa litšebeletso tse ling tsa poso ho lokisa TLS e tlamang bakeng sa sebaka sa hau haeba tšebeletso ea poso e se e ntse e tšehetsa MTA-STS le / kapa DANE.
- Bakeng sa lits'ebeletso tse kholo tsa mangolo, sebelisa "analoge" ea MTA-STS ka litlhophiso tse arohaneng tsa lipalangoang bakeng sa sebaka se seng le se seng, se tla lokisa MX e sebelisoang bakeng sa ho romella mangolo mme e tla hloka netefatso ea setifikeiti sa TLS bakeng sa eona. Haeba libaka li se li ntse li phatlalatsa leano la MTA-STS, sena se ka etsoa ntle le bohloko. Ho nolofaletsa TLS e tlamang bakeng sa domain ntle le ho lokisa relay le ho netefatsa setifikeiti bakeng sa eona ha ho na thuso ho latela ts'ireletso mme ha e kenye letho mekhoeng e teng ea STARTTLS.
Source: www.habr.com
